使用 Amazon Redshift 进行可信身份传播

启用可信身份传播的步骤取决于您的用户是与托管应用程序交互还是与客户 AWS 托管的应用程序进行交互。下图显示了面向客户端的应用程序（无论是 AWS 托管的还是外部的）的可信身份传播配置，这些应用程序通过Amazon Redshift或授权服务（例如Amazon S3）提供的访问控制来查询 Amazon Redshift 数据。 AWS AWS Lake Formation Access Grants

使用 Amazon Redshift、、 QuickSight Lake Formation 和 IAM 身份中心进行可信身份传播示意图

启用向 Amazon Redshift 的可信身份传播后，Redshift 管理员可以将 Redshift 配置为自动为 IAM 身份中心创建角色作为身份提供商，将 Redshift 角色映射到 IAM 身份中心中的群组，并使用基于 Redshift 角色的访问控制来授予访问权限。

支持的面向客户的应用程序

AWS 托管应用程序

以下面向客户的 AWS 托管应用程序支持向 Amazon Redshift 传播可信身份：

注意

如果您使用 Amazon Redshift Spectrum 访问 AWS Glue Data Catalog中的外部数据库或表，请考虑设置 Lake Formation 和 A Access Grants mazon S3 以提供精细的访问控制。

客户托管的应用程序

以下客户托管的应用程序支持向 Amazon Redshift 传播可信身份：

Tableau包括TableauDesktopTableauServer、和 Tableau Prep
- 要为的用户启用可信身份传播Tableau，请参阅AWS 大数据博客中的使用 IAM 身份中心与 Amazon Redshift 集成Tableau和Okta与 Amazon Redshift 集成。
SQL 客户端（DBeaver和DBVisualizer）
- 要为 SQL 客户端（DBeaver和DBVisualizer）用户启用可信身份传播，请参阅大数据博客中使用 IAM Identity Center 将身份提供商 (IdP) 与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录。AWS

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用案例

亚马逊 Redshift 查询编辑器 V2